SHA-2 TLS/SSL 인증서로 마이그레이션해야 하는 이유는 무엇입니까?
DigiCert는 보안 파트너로서 SHA-256을 발급된 모든 TLS/SSL 인증서의 기본값으로 설정하고 있으며, 모든 고객에게 SHA-1 인증서를 SHA-2로 업데이트하도록 강력히 권장하고 있습니다. SHA-1이 최소 2006년 시점 부로 충분히 안전하지 않다고 여겨지고 있기 때문입니다. 실제로 NIST는 2011년에 SHA-1의 사용을 중단했고 2013년에 디지털 서명에 사용하지 못하도록 금지했습니다. 암호 분석가들은 SHA-1과 관련된 위험이 앞서 예상했던 수준보다 심각하다고 경고했고, 관리자에게 SHA-1 인증서를 교체할 것을 촉구했습니다.
SHA-1 인증서를 신속하게 찾아 교체하려면 어떻게 해야 합니까?
DigiCert CertCentral® 클라우드 기반 검색 도구를 사용하면 SHA-1 TLS/SSL 인증서를 신속하게 찾아 DigiCert의 무료 DigiCert SHA-2 인증서로 교체할 수 있습니다. DigiCert의 검색 도구는 고도로 복잡한 분산형 네트워크 내에서도 인증서를 스캔할 수 있습니다. 그리고 CA(인증 기관)에 관계없이 모든 인증서(개인/공용)를 파악하고 모니터링할 수 있는 여러 스캔 옵션을 제공합니다.
TLS/SSH(보안 셸 키) 검색에는 네트워크에서 TLS 인증서와 SSH 키를 철저히 스캔하는 데 도움이 되는 두 가지 구성 요소가 있습니다.
- 클라우드 스캔 – 공개 서버에서 TLS 인증서를 빠르고 쉽게 찾을 수 있는 옵션입니다. 이 옵션은 따로 설치가 필요 없으며, CertCentral UI에서 즉시 시작할 수 있습니다.
- 네트워크 스캔은 복잡한 분산형 네트워크에서 모든 공용 및 개인 TLS 인증서를 검색합니다. 사용자 환경을 철저히 스캔하여 보고서를 작성하고 모든 TLS 인증서 및 SSH 키를 완벽하게 파악할 수 있습니다.
언제 SHA-2로 전환해야 합니까?
Google, Mozilla, Microsoft에서는 이미 SHA-1 SSL 인증서에 대한 신뢰 지원을 단계적으로 중단했습니다. 앞서 Chrome은 SHA-1 인증서를 사용하는 사이트에 SHA-1 경고를 표시하도록 했습니다. 아직 SHA-1 인증서를 SHA-2 인증서로 교체하지 않은 관리자는 지금 전환을 시작해야 합니다.
2014년 8월, Google은 2014년 11월부터 SHA-1로는 충분한 보안을 제공할 수 없으니 Chrome에서 SHA-1 인증서로 보호되는 사이트에 경고를 표시할 것이라는 발표로 전환을 더욱 강력하게 촉구하는 태도를 보여주었습니다. Google은 좀 더 빠르게 SHA-1 인증서를 단계적으로 제거하고 MD5보다 원활하게 전환할 수 있도록 지원하고자 했습니다.
2015년 10월, 국제 암호 분석가 팀은 SHA-1과 관련된 위험이 당초 예상보다 더 심각하다는 결론을 내렸고, 관리자에게 SHA-1 인증서를 더 빨리 교체할 것을 촉구하는 연구를 발표했습니다. 발표된 연구는 이론상의 결론이며, 아직 실제 환경에서 입증되지는 않았습니다. 그만큼 즉각적인 위험이 파악된 것은 아니지만, DigiCert는 관리자가 가능한 한 빠르게 SHA-2로 마이그레이션하기를 강력히 권장하고 있습니다.
관리자는 이 업데이트가 미칠 수 있는 영향을 고려하여다음에 대해 계획해야 합니다.
- SHA-2와 호환되는 하드웨어
- SHA-2를 지원하는 서버 소프트웨어 업데이트
- SHA-2에 대한 클라이언트 소프트웨어 지원
- SHA-2에 대한 사용자 지정 애플리케이션 지원
브라우저와 CA는 앞서 2017년까지 SHA-2로 마이그레이션하도록 권장해 왔지만, 현재의 연구는 조직이 SHA-2를 지원할 수 있게 기존 인프라를 업그레이드하는 계획을 신속하게 실행에 옮기도록 권장하고 있습니다. SHA-2 타임라인에 대한 자세한 내용은 SHA-2 FAQ에서 확인하십시오.
